Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.3, dell'aggiornamento di sicurezza 2020-001 per Mojave e dell'aggiornamento di sicurezza 2020-001 per High Sierra
In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.3, dell'aggiornamento di sicurezza 2020-001 per Mojave e dell'aggiornamento di sicurezza 2020-001 per High Sierra.
Informazioni sugli aggiornamenti di sicurezza Apple
Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.
Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.
Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.
macOS Catalina 10.15.3, aggiornamento di sicurezza 2020-001 per Mojave, aggiornamento di sicurezza 2020-001 per High Sierra
AnnotationKit
Disponibile per: macOS Catalina 10.15.2
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3877: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro
apache_mod_php
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: diversi problemi presenti in PHP.
Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.11.
CVE-2019-11043
Audio
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3857: Zhuo Liang del Vulcan Team di Qihoo 360
autofs
Disponibile per: macOS Catalina 10.15.2
Impatto: la ricerca e l'apertura di un file da un montaggio NFS controllato da un utente malintenzionato può bypassare Gatekeeper.
Descrizione: il problema è stato risolto con ulteriori controlli da parte di Gatekeeper sui file montati attraverso una rete condivisa.
CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) e René Kroka (@rene_kroka)
CoreBluetooth
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3848: Jianjun Dai dell'Alpha Lab di Qihoo 360
CVE-2020-3849: Jianjun Dai dell'Alpha Lab di Qihoo 360
CVE-2020-3850: Jianjun Dai dell'Alpha Lab di Qihoo 360
CoreBluetooth
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3847: Jianjun Dai dell'Alpha Lab di Qihoo 360
Crash Reporter
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impatto: un'applicazione dannosa può accedere a file con restrizioni.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2020-3835: Csaba Fitzl (@theevilbit)
crontab
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3863: James Hutchins
Trovati nelle app
Disponibile per: macOS Catalina 10.15.2
Impatto: è possibile accedere in modo inappropriato ai dati codificati.
Descrizione: si verificava un problema con l'accesso di suggerimenti di Siri ai dati codificati. Il problema è stato risolto limitando l'accesso ai dati codificati.
CVE-2020-9774: Bob Gendler del National Institute of Standards and Technology
Elaborazione delle immagini
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3827: Samuel Groß di Google Project Zero
ImageIO
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.
Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3826: Samuel Groß di Google Project Zero
CVE-2020-3870
CVE-2020-3878: Samuel Groß di Google Project Zero
CVE-2020-3880: Samuel Groß di Google Project Zero
Driver Intel Graphics
Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3845: Zhuo Liang del Vulcan Team di Qihoo 360
IOAcceleratorFamily
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3837: Brandon Azad di Google Project Zero
IOThunderboltFamily
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3851: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington
IPSec
Disponibile per: macOS Catalina 10.15.2
Impatto: il caricamento di un file di configurazione racoon dannoso può causare l'esecuzione di codice arbitrario.
Descrizione: si verificava un off-by-one error nella gestione dei file di configurazione racoon. Il problema è stato risolto attraverso un migliore controllo dei limiti.
CVE-2020-3840: @littlelailo
Kernel
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2020-3875: Brandon Azad di Google Project Zero
Kernel
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3872: Haakon Garseg Mørk e Cim Stordal di Cognite
Kernel
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.
Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3853: Brandon Azad di Google Project Zero
Kernel
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.
Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3836: Brandon Azad di Google Project Zero
Kernel
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.
CVE-2020-3842: Ned Williamson in collaborazione con Google Project Zero
CVE-2020-3871: Corellium
libxml2
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.
Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.
CVE-2020-3846: Ranier Vilela
libxpc
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3856: Ian Beer di Google Project Zero
libxpc
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.
Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.
CVE-2020-3829: Ian Beer di Google Project Zero
PackageKit
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.
CVE-2020-3830: Csaba Fitzl (@theevilbit)
Sicurezza
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.
Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.
CVE-2020-3854: Jakob Rieck (@0xdead10cc) e Maximilian Blochberger di Security in Distributed Systems Group, Università di Amburgo
sudo
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: alcune configurazioni possono consentire a un utente malintenzionato locale di eseguire codice arbitrario.
Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.
CVE-2019-18634: Apple
Sistema
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6
Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.
Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.
CVE-2020-3855: Csaba Fitzl (@theevilbit)
Wi-Fi
Disponibile per: macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.
Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.
CVE-2020-3839: s0ngsari di Theori e Lee dell'Università Nazionale di Seul in collaborazione con Zero Day Initiative di Trend Micro
Wi-Fi
Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2
Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.
Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.
CVE-2020-3843: Ian Beer di Google Project Zero
wifivelocityd
Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2
Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.
Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.
CVE-2020-3838: Dayton Pidhirney (@_watbulb)
Altri riconoscimenti
Photos Storage
Ringraziamo Allison Husain della UC Berkeley per l'assistenza.
SharedFileList
Ringraziamo Patrick Wardle di Jamf per l'assistenza.
Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.